MilesTEG1 Posté(e) le 18 mai 2021 Posté(e) le 18 mai 2021 Bonjour, La situation : j'ai un nom de domaine miles.tld et un certificat wildcard fonctionnel, merci à @Einsteinium m'a proposé de faire un nouveau sujet 🙂 pour exposer la question de ce sujet. J'ai fait une rédirection de *.miles.tld vers miles.tld afin de ne pas devoir créer manuellement chacune des redirections que je souhaite utiliser. Ça marche parfaitement pour toutes celles que j'ai mise dans le reverse-proxy de DSM, j'abouti bien sur le service voulu. Mais par exemple, si je tape le domaine blabla.miles.tld qui n'est pas présent dans le reverse-proxy, j'abouti à une alerte de sécurité concernant le certificat (probablement parce que blabla.miles.tld n'est pas présent donc pas paramétré pour utiliser le certificat wildcard, et que le certificat du domainde synology est celui paramétré pour "Système par défaut" ) : Puis si je force la connexion, j'aboutie à la page de webstation : Donc la connexion s'est quand même établie. N'y auait-il pas moyen e faire en sorte que tout ce qui n'est pas mis dans le reverse-proxy aboutisse à une erreur 404 ou autre ? Voir sur une page comme ça : Merci d'avance 🙂 0 Citer
.Shad. Posté(e) le 18 mai 2021 Posté(e) le 18 mai 2021 il y a 3 minutes, MilesTEG1 a dit : J'ai fait une rédirection de *.miles.tld vers miles.tld afin de ne pas devoir créer manuellement chacune des redirections que je souhaite utiliser. Ça marche parfaitement pour toutes celles que j'ai mise dans le reverse-proxy de DSM, j'abouti bien sur le service voulu. Mais par exemple, si je tape le domaine blabla.miles.tld qui n'est pas présent dans le reverse-proxy, j'abouti à une alerte de sécurité concernant le certificat (probablement parce que blabla.miles.tld n'est pas présent donc pas paramétré pour utiliser le certificat wildcard, et que le certificat du domainde synology est celui paramétré pour "Système par défaut" ) : Non, si tu arrives sur un avertissement c'est que tu n'as pas un certificat wildcard, ou que tu fais un renouvellement de type http (avec ouverture de ports) et que blabla.miles.tld n'est pas un domaine pour lequel un certificat a été émis. il y a 5 minutes, MilesTEG1 a dit : N'y auait-il pas moyen e faire en sorte que tout ce qui n'est pas mis dans le reverse-proxy aboutisse à une erreur 404 ou autre ? Voir sur une page comme ça : Pour une 404 il ne faut pas mettre d'enregistrement wildcard dans ta zone DNS publique, et ajouter les domaines que tu utilises seulement. Ainsi blabla.miles.tld n'amènera à rien, donc 404. 0 Citer
Einsteinium Posté(e) le 18 mai 2021 Posté(e) le 18 mai 2021 Je t’ai donné la solution dans l’autre topic pour sa, mais faudra mettre en défaut le wildcard 🙂 0 Citer
MilesTEG1 Posté(e) le 18 mai 2021 Auteur Posté(e) le 18 mai 2021 il y a une heure, .Shad. a dit : Non, si tu arrives sur un avertissement c'est que tu n'as pas un certificat wildcard, ou que tu fais un renouvellement de type http (avec ouverture de ports) et que blabla.miles.tld n'est pas un domaine pour lequel un certificat a été émis. J'ai expliqué dans la parenthèse 🙂 Le wildcard n'était pas mis pour tous les services du NAS. Dont le "Paramètre système par défaut". En mettant le wilkdcard sur ce service, je n'ai plus l'alerte de sécurité. Mon soucis n'était pas là dessus 😉 il y a une heure, .Shad. a dit : Pour une 404 il ne faut pas mettre d'enregistrement wildcard dans ta zone DNS publique, et ajouter les domaines que tu utilises seulement. Ainsi blabla.miles.tld n'amènera à rien, donc 404. Oui c'est une solution que je pourrais faire 🙂 Un peu plus contraignant, mais fonctionnelle, c'est ce que je faisais avant. il y a 49 minutes, Einsteinium a dit : Je t’ai donné la solution dans l’autre topic pour sa, mais faudra mettre en défaut le wildcard 🙂 Yep, j'ai d'ailleurs des questions à ce propos. J'ai pas le temps là tout de suite , mais tout à l'heure je reposterais ta solution avec les questions qui vont avec 😉 merci bien en tout cas 😇 0 Citer
MilesTEG1 Posté(e) le 18 mai 2021 Auteur Posté(e) le 18 mai 2021 Alors, voilà, j'ai chouilla de temps avant d'aller dormir 😉 Le 17/05/2021 à 16:26, Einsteinium a dit : On s'écarte du tutoriel par contre, donc faudra faire un topic à part si tu as d'autres questions HS 🙂 Alors j'ai une technique perso contre les sous domaine inexistant assez simple et qui oblige à abandonner le dossier web pour la racine, mais cela évite de modifier en ssh des fichiers systèmes susceptible de sauté au update, suffit de masqué sa vue dans filestation ensuite ou alors de le gardé si on a des scripts perso qu'on place dans des sous dossiers (en fessant des virtual host) - A la racine du dossier web, tu mets un access qui deny. Qu'est ce que tu entends par ce que j'ai mis en gras ? Pour le .htaccess, est-ce que ça pourrait faire l'affaire : order allow,deny deny from all allow from IP avec à la place de IP quelques IP qui auraient accès au dossier ? J'avais un projet d'écran de station météo (un peu à l'arrêt mais que je pourrais reprendre) qui utilisait un script PHP pour récupérer des données. Le 17/05/2021 à 16:26, Einsteinium a dit : - dans web station maintenant : 1) Portail de service web : par defaut avec le jocker, je mets apache au lieu de nginx 2) paramètre de la page d'erreur, profil de defaut, une redirection 302 vers mon domaine.tld 3) dans portail web je fais un virtual host avec domaine.tld qui pointe vers sa nouvelle racine POur le point 1), je ne vois pas trop de quoi tu parles... Est-ce que c'est ça ? Pour les point 2 et 3, je sèche. Je ne vois pas de quoi tu parles 😓 0 Citer
Einsteinium Posté(e) le 19 mai 2021 Posté(e) le 19 mai 2021 Ah... je suis sous dsm 7, nous n'avons donc pas la même chose ^^' désormais c'est plutôt : Require all denied Require ip 192.168.0 Bref pour le coup tu as des manques par rapport à dsm 7 (partie virtual host différente et plus complet, gestion des pages d'erreurs aussi) 0 Citer
MilesTEG1 Posté(e) le 19 mai 2021 Auteur Posté(e) le 19 mai 2021 il y a une heure, Einsteinium a dit : Ah... je suis sous dsm 7, nous n'avons donc pas la même chose ^^' désormais c'est plutôt : Require all denied Require ip 192.168.0 Bref pour le coup tu as des manques par rapport à dsm 7 (partie virtual host différente et plus complet, gestion des pages d'erreurs aussi) Ha mince... Bon bah pour le moment le plus sûr/simple serait de désactiver la redirection wildcard sur mon nom de domaine et de faire à la main les différents domaines... Qu'en penses-tu ? C'est risqué de laisser le wildcard sur le domaine ? 0 Citer
Einsteinium Posté(e) le 19 mai 2021 Posté(e) le 19 mai 2021 On a la même configuration, tu peux migré sous dsm 7 sans soucis 😉 0 Citer
MilesTEG1 Posté(e) le 19 mai 2021 Auteur Posté(e) le 19 mai 2021 Il y a 1 heure, Einsteinium a dit : On a la même configuration, tu peux migré sous dsm 7 sans soucis 😉 Hmmm j’ai peur un peu pour mes données et tout… car après tout dsm 7 reste une version bêta. Qui ne semble pas avoir eu de mise à jour depuis plusieurs mois… Pour jouer la la sécurité, je préfère attendre une version finale . 1 Citer
Einsteinium Posté(e) le 19 mai 2021 Posté(e) le 19 mai 2021 Par de maj oui, elle est déjà proche de la finale de part sa stabilité 😉 J’ai du remonté 2/3 anecdotes, mais je n’ai constaté aucun bug ou problème majeure, d’une stabilité à toute épreuve. 0 Citer
MilesTEG1 Posté(e) le 20 mai 2021 Auteur Posté(e) le 20 mai 2021 Ça semble être bon signe 😊 mais alors, pourquoi le version finale met tant de temps à sortir ? En tout j’ai hâte 😁 0 Citer
MilesTEG1 Posté(e) le 20 mai 2021 Auteur Posté(e) le 20 mai 2021 @Einsteinium Vu que tu es sous dsm7, tu voudrais bien faire, s'il te plait, un petit test avec un nom de domaine qui passe par le reverse proxy ? Mettre ton ndd là : https://www.ssllabs.com/ssltest/ et me dire si tu as le TLS 1.3 avec DSM7. Car moi sous DSM6.2, j'ai que le TLS 1.2 : Et un peu plus bas : Je te remercie d'avance 😉 1 Citer
Einsteinium Posté(e) le 20 mai 2021 Posté(e) le 20 mai 2021 Il y a 14 heures, MilesTEG1 a dit : mais alors, pourquoi le version finale met tant de temps à sortir ? Car synology fait de la merde totale niveau com, suffit de voir le forum de la communauté principale (anglaise), il en prenne plein la gueule à faire les morts... Il y a 5 heures, MilesTEG1 a dit : si tu as le TLS 1.3 avec DSM7 Normal sous dsm 6 c'est une vieille version qui ne le supportera pas, sous dsm 7 le 1.3 est disponible 😉 0 Citer
MilesTEG1 Posté(e) le 20 mai 2021 Auteur Posté(e) le 20 mai 2021 Ok, c'est ce que j'avais cru comprendre. Me faut DSM7 alors ! mais pas une béta !! Synology, bougez-vous le *$% !!! 0 Citer
.Shad. Posté(e) le 21 mai 2021 Posté(e) le 21 mai 2021 En même temps ça fait longtemps que j'ai vu tourner sous Reddit la date de fin Juin, début Juillet, donc j'ai plutôt l'impression qu'ils sont dans les temps s'ils sortent la RC d'ici 2-3 semaines. Mais à titre personnel je pense que ça n'arrivera pas avant Août, je n'ai jamais vu une version beta qui n'évolue pas avant la RC ou release. Car les modifications qu'ils font pour corriger les bugs de la beta actuelle peuvent très bien en induire d'autres. 1 Citer
MilesTEG1 Posté(e) le 3 juin 2021 Auteur Posté(e) le 3 juin 2021 @Einsteinium Maintenant que j'ai craqué pour installé DSM7 RC, j'ai probablement la possibilité de personnaliser l'arrivée sur un domaine non référencé dans le reverse proxy. Pourrais-tu m'aider ? Merci d'avance 😉 0 Citer
Einsteinium Posté(e) le 3 juin 2021 Posté(e) le 3 juin 2021 On peut voir à ce faire une session TeamViewer a un moment, faut un message privé avec tes dispos de demain 0 Citer
MilesTEG1 Posté(e) le 4 juin 2021 Auteur Posté(e) le 4 juin 2021 Hello 🙂 Aujourd'hui, je sais pas trop quand je vais avoir de la dispo. Peut-être en début d'après-midi, mais c'est pas sûr... Je te redis. 0 Citer
Jeff777 Posté(e) le 4 juin 2021 Posté(e) le 4 juin 2021 Le 20/05/2021 à 14:11, MilesTEG1 a dit : me dire si tu as le TLS 1.3 avec DSM7. Car moi sous DSM6.2, j'ai que le TLS 1.2 : Je ne connaissais pas ce site et cela m'a donné l'occasion de tester mes deux serveurs (dsm6 et dsm7). Voilà le résultat Apparemment ssllab n'aime pas trop ma config non conventionnelle 🤪 Résultat du premier nas (dsm7) Le second dsm6 Maintenant je ne sais pas trop quoi en penser 🙄. Des commentaires?? 0 Citer
.Shad. Posté(e) le 4 juin 2021 Posté(e) le 4 juin 2021 Ta note descend car ton niveau de compatibilité est trop permissif sur DSM 6. Si tu mets compatibilité moderne sur DSM 6 normalement ça limite à TLS 1.2 et TLS 1.1 1 Citer
MilesTEG1 Posté(e) le 4 juin 2021 Auteur Posté(e) le 4 juin 2021 Moi je suis passé de À+ avec dsm 6.2 à juste A avec dsm7. 0 Citer
Jeff777 Posté(e) le 4 juin 2021 Posté(e) le 4 juin 2021 (modifié) il y a une heure, .Shad. a dit : Ta note descend car ton niveau de compatibilité est trop permissif sur DSM 6. Si tu mets compatibilité moderne sur DSM 6 normalement ça limite à TLS 1.2 et TLS 1.1 Bien vu. Avec la compatibilité moderne sur DSM6 ça passe en A (donc dsm6 tls1.2 seulement et dsm7 tls1.2 et 1.3). Si je mets dsm7 en compatibilité moderne ça ne change rien mais comme j'ai une notification que je risque de perdre la com avec certains périphériques Je suis donc revenu en arrière. Autre changement : Je n'ai plus le warning : inconsistent server configuration ! 🙂 il y a 34 minutes, MilesTEG1 a dit : Moi je suis passé de À+ avec dsm 6.2 à juste A avec dsm7. Peut-être que tu as A+ car tu es en HSTS. Je n'ai pas voulu mettre cette option.....je ne sais plus pourquoi mais j'ai lu quelque part que ce n'était pas recommandé. C'est encore le cas ? Modifié le 4 juin 2021 par Jeff777 0 Citer
MilesTEG1 Posté(e) le 4 juin 2021 Auteur Posté(e) le 4 juin 2021 Il y a 2 heures, Jeff777 a dit : Peut-être que tu as A+ car tu es en HSTS. Je n'ai pas voulu mettre cette option.....je ne sais plus pourquoi mais j'ai lu quelque part que ce n'était pas recommandé. C'est encore le cas ? Oui le HSTS est encore activé sur les domaines testés. Mais les scores sont identiques en valeurs sur tous les tests par rapport à DSM6... Par contre je viens de refaire le test là, et je suis de nouveau en A+... Et dans les détails j'ai TLS1.2 qui apparait en vert plus du TLS 1.3 : Quand j'ai fait il hier ou avant hier, j'avais le 1.2 qui était orange et en No... Bref, je suis 1+ là 😄 0 Citer
Jeff777 Posté(e) le 4 juin 2021 Posté(e) le 4 juin 2021 @MilesTEG1 Je ne suis pas sûr de comprendre. Tu es en A+ et TLS 1.2 et 1.3 en vert avec HSTS en DSM7 c'est ça ?? 0 Citer
MilesTEG1 Posté(e) le 4 juin 2021 Auteur Posté(e) le 4 juin 2021 il y a 23 minutes, Jeff777 a dit : @MilesTEG1 Je ne suis pas sûr de comprendre. Tu es en A+ et TLS 1.2 et 1.3 en vert avec HSTS en DSM7 c'est ça ?? Oui c’est ça. je crois que le test fait il y a quelques jours a eu un bug… 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.